Hackers norte-coreanos usam empresas de criptomoedas falsas e entrevistas de emprego para espalhar malware
Em uma nova e assustadora reviravolta nas táticas do cibercrime, hackers ligados à Coreia do Norte estão se passando por empresas legítimas de consultoria em criptomoedas para disseminar malware durante falsas entrevistas de emprego. A sofisticada campanha, descoberta por especialistas em segurança cibernética, mostra até onde os cibercriminosos estão dispostos a ir para se infiltrar em sistemas e roubar informações confidenciais.
Table of Contents
Empresas falsas, ameaças reais
De acordo com uma análise aprofundada da Silent Push, os agentes de ameaças por trás da chamada campanha "Contagious Interview" criaram três empresas de fachada:
- BlockNovas LLC (blocknovas[.]com)
- Agência Angeloper (angeloper[.]com)
- SoftGlide LLC (softglide[.]co)
Essas empresas falsas atraem vítimas desavisadas — principalmente profissionais de TI e criptomoedas — para processos de contratação falsos. Sob o disfarce de tarefas de programação ou entrevistas técnicas, os candidatos são induzidos a baixar malware disfarçado de material de trabalho legítimo.
As famílias de malware implantadas nesta operação incluem BeaverTail, InvisibleFerret e OtterCookie — cada uma cuidadosamente criada para comprometer uma ampla gama de sistemas, incluindo Windows, Linux e macOS.
Uma teia de enganos
A operação Contagious Interview, que empresas de segurança cibernética também rastreiam sob nomes como DeceptiveDevelopment e Famous Chollima, representa uma escalada dramática nas táticas de ciberespionagem da Coreia do Norte.
Os hackers não se limitam a sites falsos. Eles criaram perfis fraudulentos em plataformas de mídia social como Facebook, LinkedIn, Pinterest, X (antigo Twitter), Medium, GitHub e GitLab para dar legitimidade às suas operações. A Silent Push observou que a BlockNovas chegou a fabricar uma equipe inteira de funcionários para seu site, alegando falsamente mais de 12 anos de experiência — apesar de a empresa ter sido registrada recentemente.
Esse engano culmina na implantação de malware. As vítimas, alvos do processo de contratação, inadvertidamente baixam o BeaverTail, um ladrão e carregador de JavaScript, que então instala o InvisibleFerret, um backdoor capaz de manter a persistência e exfiltrar dados confidenciais. Algumas infecções também instalam uma ferramenta secundária de malware chamada OtterCookie.
Infraestrutura e Metas
A BlockNovas não se limitou a sites e perfis falsos. Os investigadores do Silent Push encontraram um "Painel de Status" em um dos subdomínios da BlockNovas, usado para monitorar vários domínios envolvidos nos ataques. Além disso, mail.blocknovas[.]com foi encontrado hospedando o Hashtopolis, uma ferramenta de gerenciamento de quebra de senhas de código aberto.
As campanhas de recrutamento falsas já fizeram vítimas. Em um caso confirmado em setembro de 2024, um desenvolvedor teve sua carteira de criptomoedas MetaMask comprometida.
Outra descoberta alarmante envolveu um site chamado Kryptoneer (hospedado em attisscmo[.]com), oferecendo serviços para conectar carteiras de criptomoedas — uma medida possivelmente voltada para usuários de blockchain, particularmente aqueles conectados ao blockchain Sui.
Repressão e implicações internacionais
Em 23 de abril de 2025, as autoridades policiais dos EUA, incluindo o FBI, apreenderam o domínio BlockNovas, citando seu papel na disseminação de malware sob o disfarce de falsas oportunidades de emprego.
Além das explorações técnicas, pesquisadores observaram o uso de ferramentas de IA, como o Remaker, por parte dos autores das ameaças para gerar fotos de perfil falsas realistas, aumentando a credibilidade de suas empresas falsas. Há também evidências que sugerem vínculos com a infraestrutura russa: os investigadores rastrearam a operação até intervalos de IP russos mascarados por VPNs, proxies e servidores VPS perto da fronteira entre a Coreia do Norte e a Rússia.
Considerando esses laços, especialistas sugerem que pode haver um nível de cooperação ou pelo menos compartilhamento de infraestrutura entre os cibercriminosos norte-coreanos e russos, embora a confirmação permaneça com confiança baixa a média.
O Panorama Geral: Ferramentas Wagemole e GenAI
A campanha Entrevista Contagiosa é apenas uma faceta de uma estratégia norte-coreana mais ampla. Outra tática, conhecida como Wagemole, envolve agentes norte-coreanos usando personas geradas por IA para garantir empregos legítimos em empresas estrangeiras. Os salários desses empregos são então repassados ao regime.
A empresa de segurança cibernética Okta alertou que os facilitadores norte-coreanos estão usando cada vez mais ferramentas de IA generativa (GenAI) para gerenciar agendas, transcrever conversas e traduzir entrevistas em tempo real — tornando seus esforços de infiltração mais difíceis de detectar e interromper.
A vigilância reforçada é crucial
Esta campanha destaca a crescente sofisticação dos ataques cibernéticos patrocinados por governos e o uso inovador da engenharia social. Profissionais de tecnologia, especialmente aqueles nos setores de criptomoedas e finanças, devem permanecer extremamente vigilantes quando lhes forem apresentadas oportunidades de emprego, principalmente se o processo de contratação parecer apressado, incomum ou envolver o download de arquivos desconhecidos.
As organizações precisam fortalecer seus processos de triagem de candidatos e suas defesas de segurança cibernética. Em uma era em que uma oferta de emprego aparentemente inocente pode abrir caminho para infecções devastadoras por malware, a cautela não é mais opcional — é essencial.
